ネットワークベンダーから見たセキュリティの問題点 (1) WebサーバにSSL処理を任せてはいけない理由

ただし、注意するポイントとして、「SNIを使用する場合にはWebサーバ側だけではなく、Webブラウザ側の対応も必要」ということが挙げられます。SNIは比較的新しい拡張仕様のため、対応していないWebブラウザも少なくありません。

○セキュリティが逆に低下する危険性も

WebサーバのSSL処理について、不経済性に伴うパフォーマンスの低下や運用管理面でのデメリットを挙げましたが、それ以外にも問題点があります。

例えば、Webサーバとインターネットの間に、IDSやIPSなどのいわゆる「ディープ パケット インスペクション」を行う、セキュリティ・アプライアンスを設置するケースがあります。しかし、SSLのトラフィックは暗号化されているため、これらのアプライアンスではパケットの中をチェックできず、本来の機能が果たせません。同様の理由から、ゲートウェイ型のアンチ・ウィルス製品でもマルウェアの検出が不可能になります。

解決策は、「すべてのWebサーバの暗号鍵をアプライアンスに展開し、トラフィックの解読と再暗号化をアプライアンスで行う」という方法が挙げられますが、当然ながらパフォーマンスは大幅に悪化してしまいます。